Hälso- och sjukvårdsförvaltningen
Ärendenr
HSN 2012/354
Handlingstyp
Policy
Datum Antagen 17 september 2012
HSN § 232
Informationssäkerhetspolicy
Information är en viktig resurs inom hälso- och sjukvården i Region Gotland.
Alla verksamheter är beroende av tillförlitlig information för att uppnå sina
mål. Mängden information som utbyts inom organisationen och mellan hälsooch sjukvårdförvaltningen och andra organisationer och allmänheten är stor
och behöver skyddas.
Allmänheten ska ha förtroende för verksamheten och dess sätt att skydda
informationen från avsiktliga eller oavsiktliga störningar. Information som rör
enskilda personers sociala, medicinska och andra personliga förhållanden måste
skyddas mot oönskad förändring, förlust eller avslöjande.
Allt mer komplexa system möjliggör effektivisering av verksamheter och
förbättrad service. Beroendet av informationssystem innebär dock ökad
sårbarhet. Det är därför nödvändigt att utifrån verksamheten ställa krav på
säkerhetslösningar i samband med upphandling, utveckling, användning och
avveckling av informationssystem och att fortlöpande kontrollera att kraven
uppfylls.
Omfattning
Informationssäkerhetspolicyn beskriver de övergripande principerna för
informationssäkerhet. Policyn gäller all information, i alla dess former, som
hanteras inom eller på uppdrag av hälso- och sjukvårdsförvaltningen i Region
Gotland. Hantering av information som görs av externa parter regleras genom
avtal.
Policyn antas av hälso- och sjukvårdsnämnden i Region Gotland.
Definition av informationssäkerhet
Informationssäkerhet är den samlade effekten av organisatoriska,
administrativa och tekniska åtgärder för att skydda information mot de hot den
kan utsättas för. Informationen ska skyddas utifrån krav på sekretess, riktighet,
tillgänglighet och spårbarhet.
Besöksadress Visborgsallén 19
E-post [email protected]
Postadress 621 81 Visby
Webbplats www.gotland.se
Telefon 0498-26 90 00 vxl
Org nr 212000-0803
1 (3)
Hälso- och sjukvårdsförvaltningen
Ärendenr HSN 2012/354
Region Gotland
Skyddsområden
•
Tillgänglighet innebär skydd mot störningar som avsiktligt eller
oavsiktligt leder till att behörig åtkomst till information enligt
verksamhetens och allmänhetens krav inte kan tillgodoses.
•
Riktighet innebär skydd mot obehörig påverkan eller förändring.
Informationen ska hålla hög kvalitet och vara väl skyddad för påverkan
av obehörig. Förlorad eller skadad information ska kunna återställas
eller återskapas enligt verksamhetens krav på bibehållen kvalitet.
•
Sekretess innebär skydd mot att information, och ibland även dess
existens, görs tillgänglig eller avslöjas för obehöriga.
•
Spårbarhet innebär att åtgärder i informationssystem dokumenteras på
ett sådant sätt att analys och uppföljningar kan göras. Åtgärderna ska
kunna spåras till en identifierad användare.
Skyddsåtgärder
Hälso- och sjukvårdförvaltningen ska genomföra organisatoriska,
administrativa och tekniska skyddsåtgärder för ovan nämnda skyddsområden.
Skyddsåtgärderna ska vara dokumenterade så att det är möjligt att kontrollera
att nödvändig skyddsnivå uppnås.
Region Gotland använder en 3-gradig skala för att säkerhetsklassificera
information. Val av skyddsåtgärd ska vara baserad på informationens betydelse
och de konsekvenser som bristande säkerhet kan medföra. Lagar och
förordningars krav ska utgöra lägsta nivå vid bedömning av skyddsåtgärder.
Med stöd av Socialstyrelsens föreskrifter SOSFS 2011:8 görs undantag från
kraven vid överföring till patienter av påminnelser och kallelser via SMS och epost i öppna nät. Undantaget gäller förutsatt att beslutet om överföring i öppna
nät har föregåtts av en behovs- och riskanalys, att patienten har givit sitt
medgivande och att överföringen inte avslöjar detaljer om patientens
hälsotillstånd eller andra personliga förhållanden.
Ansvar
Hälso- och sjukvårdsnämnden ansvarar ytterst för de frågor som rör hälso- och
sjukvårdsförvaltningens informationssäkerhet. Nämnden ansvarar för att
informationssäkerhetspolicy och riktlinjer för informationssäkerhet utarbetas
och hålls aktuella.
2 (3)
Hälso- och sjukvårdsförvaltningen
Ärendenr HSN 2012/354
Region Gotland
Ansvaret för informationssäkerhet är kopplat till det delegerade
verksamhetsansvaret. Det betyder att varje person som är ansvarig för en
verksamhet också är ansvarig för informationssäkerheten inom den
verksamheten.
Varje anställd ansvarar för att hantera och skydda information enligt uppsatta
säkerhetsregler och att rapportera misstänkta brister i informationssäkerheten
enligt riktlinje för avvikelsehantering inom hälso- och sjukvårdsförvaltningen.
Syfte
Arbetet med informationssäkerhet ska leda till att:
• den personliga integriteten skyddas enligt gällande lagstiftning.
• medborgarnas lagliga rätt till insyn i verksamheten upprätthålls.
• hot och risker elimineras/minimeras.
• god tillgänglighet till information säkerställs.
Uppföljning och revidering
Uppföljning och revidering av policyn ska ske regelbundet, minst en gång per
mandatperiod.
Relaterade dokument
Informationssäkerhetsarbetet inom hälso- och sjukvårdsförvaltningen påverkas
bland annat av följande lagar:
•
•
•
•
•
•
Personuppgiftslagen (SFS 1998:204)
Patientdatalagen (SFS 2008:355)
Offentlighets- och sekretesslagen (SFS 2009:400)
Tryckfrihetsförordningen (SFS 1949:105)
Yttrandefrihetsgrundlagen (SFS 1991:1469)
Arkivlagen (SFS 1990:782)
Informationssäkerhetsarbetet påverkas också av följande styrdokument inom
Region Gotland:
•
•
•
•
Policy för säkerhets- och trygghetsarbete i Region Gotland
Riktlinjer för informationssäkerhet i Region Gotland
Netikett – IT- och teleriktlinjer för anställda i Gotlands kommun
Riktlinje för avvikelsehantering inom hälso- och sjukvårdsförvaltningen
Informationssäkerhetspolicyn ska göras konkret i riktlinjer, anvisningar och
instruktioner. Dokumenten ska i den mån det är möjligt utformas och ordnas
enligt vedertagen svensk standard för informationssäkerhet (SS-ISO/IEC
27000).
3 (3)
